网络战迷局：攻击伊朗核电站的病毒与烟雾弹

编者按：当超级工厂病毒，也就是Stuxnet，成功摧毁伊朗核电站里的离心机时，人们惊呼“网络战开始了！”日前，“超限战专家”John Bumgarner认为，曾被全球安全专家围捕的Conficker病毒其实是在为Stuxnet的攻击释放烟雾弹。而趋势科技资深工程师Rik Ferguson却不这样认为。

我刚刚读了篇路透社的新闻报导，其中主要介绍了备受推崇的“超限战专家”——John Bumgarner有关Conficker的看法，他认为，这个病毒是作为烟雾弹制作和传播的，其真正目的在于掩盖使用Stuxnet对伊朗核电站进行的攻击。

Bumgarner声称，一开始的侦查阶段是在2007年，通过Duqu确认以后要借助Stuxnet攻击的目标。到2008年11月，Conficker开始被传播到全球，感染尽可能多的电脑。当这些Conficker中毒电脑成功发送汇报信息后，如果受害者电脑位于特定位置（伊朗），就会被标记起来，以做为Stuxnet的攻击目标。他还进一步指出，Conficker对伊朗之外的电脑并没有造成损害，而4月1日这个恶名昭彰的日期，实际上只是将Stuxnet植入那些位于伊朗相应位置的计算机内。

以下是Bumgarner用来佐证的证据，但是对我来说都不够有力：

1. Stuxnet和Conficker都“前所未见的复杂”，所以认为它们是有关连的。

2. Stuxnet和Conficker都用相同的系统漏洞感染电脑（MS08-67）

3. 没说明“关键日期”，也没说明“不同版本”的Conficker和Stuxnet的时间戳是重叠的，这样就“可以确认攻击发动的日子是2009年4月1日”。

4. 2009年4月1日是伊朗伊斯兰共和国宣布建国30周年纪念日。其他未明确的日期也和“伊朗总统内贾德说他的国家将不顾国际社会反对，继续追求核计划”，以及“他在纽约哥伦比亚大学发表争议性演讲”等日子有关。

至于这次攻击是如何收尾的，最终的目标机器还坐落在它该在的地方——核电厂中，Bumgarner也说，在这时候恶意软件还没有进入到目标机器上。因此为了要跨过这最后一道鸿沟，Stuxnet被设计可感染USB存储设备，然后期望某人会拿着被感染Conficker/Stuxnet的存储设备，然后将它插到位于核电厂隔离网络中的机器上。如果这一点最终实现，Bumgarner肯定就会说：“将军”。

唉，这什么跟什么呀！我实在没有办法相信这些说法。让我列举几个原因：

1. 如果在伊朗以外的目标都是多余的，那为什么第一代Conficker会只排除乌克兰的电脑？为什么这个限制之后被取消？为什么不一开始就只感染伊朗的电脑？而且说感染Conficker的电脑没有太大问题也是不正确的。Conficker曾被用来宣传假防毒软件，而且它跟Waledac殭尸网络也有关系。

2. Conficker和Stuxnet的复杂程度表现在不同地方。原始版本Conficker只用了一个已经被修补的Windows系统漏洞来传播，第二个变种加上了通过U盘和用常见密码清单来做暴力密码破解来传播的功能，这些作法都不大复杂。这个恶意软件的复杂之处在于，它会随机生成域名，并将其作为可能的控制服务器。但是这些都可以很快被反编译和破解。到了Conficker的第三个变种，这些传播方法都被取消了，直到第四个变种才再次加回来。Stuxnet相较起来就复杂多了，它利用了零时差弱点攻击，而且还需要有SCADA系统和核电厂的专业知识。

3. 关于为什么Stuxnet病毒的制造者也选择利用MS08-67系统漏洞，我有一个理论。因为有强烈的事实证明这个漏洞很有效，Conficker在出现三年之后，还是企业网络中最常见的病毒。因此你为什么还要制造使用相同漏洞来传播的两种不同恶意软件，并且还要用其中一个来下载另外一个呢？

4. 4月1日的“发动日期”直接写在Conficker第三个变种的程序代码，并不需要通过时间戳来判断。

5. 4月1日是很多国家的愚人节，也是Apple成立的日子、英国内政部重大组织犯罪署成立的日子、爱尔兰的生日、东德军队封锁西柏林的日子…你知道我的意思吗？至于什么伊朗总统内贾德说他的国家会继续追求核计划，当然了，随便任何一天也都可以掰出个对应的事件出来…

最后还有这艰难的结尾方式，依靠不知名的人，将U盘插到感染Confuxnet的电脑上，在毫无所觉的情况下再将同一个U盘插到核电厂的可编程控制器上？看看我们谈到的这一切“前所未有的复杂性”，这种做法成功的机会是不是太渺小了点？也太靠运气了些。

抱歉了，Bumgarner先生，它可能是真的，当然它的确可能。但也可能是你被报导错误了，但是看看你到目前为止列出的那些证据，我就是无法接受。

如果我是一个拥有这么多资源的政府组织，那么我直接找特务拿着装有Stuxnet病毒的U盘去目标设施不就好了吗？

注释：作者Rik Ferguson现为趋势科技资深工程师。

资料来源：趋势科技云安全博客。